网络信息安全实验报告:Snort的安装与使用
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
2.软件:Winpcap,Snort
三、实验原理及内容
实验题目1:在Windows 环境下安装和使用Snort。要求给出使用的Snort的命令参数。
实验题目2:使用另外一台电脑对Snort所在主机发起一次端口扫描攻击,将Snort捕获结果复制到实验报告中。(思考:Snort检测结果的准确率如何?如何提高Snort的检测速度与准确率)
思考:Snort检测结果的准确率如何?如何提高Snort的检测速度与准确率
1)Snort成功发现了部分扫描动作,NMAP的XMAS圣诞树扫描成功被识别,但对于其他端口的探测如161、162、705、3389等端口的被作为警告记录了下来但没有识别,还有对135、445等端口的扫描没有被发现。总体感觉,准确率中等(优秀、良好、中等、较差四级别)。
2)可以通过编写更好的规则来提高准确率,可以给规则定下更多的前提条件。可以通过修改Libpcap下的伯克利包过滤器的过滤规则筛选出更明显的存在问题的数据包,并将buffer缓冲区扩大,采用多线程技术提高处理速度。
四、实验小结(包括问题和解决方法、心得体会、意见与建议等)
1、通过这次实验,我学会了Snort的安装与使用。
7、在如何书写Snort配置规则还存在比较多的疑问。
五、指导教师评语
成 绩
批阅人
日 期
但是除了这个包外再没有发现其他的明确是NMAP扫描的数据包了。在看圣诞树扫描前后的记录:
攻击方的IP地址和被攻击方的IP地址与前面的相同。
第一个包是针对162端口的刺探,如果SNMP服务开启的话,这个端口会开放,同样161端口也必须开启;所以猜测这个记录也是NMAP发起的一个针对SNMP的扫描。很遗憾Snort没有识别。
5)cmd打开执行命令:
C:\snort\bin>snort–w
//选择正确的物理网卡号4
C:\snort\bin>snort–i 4–c ..\etc\snort.conf–l ..\log\
//进入检测模式
2:使用另外一台电脑对Snort所在主机发起一次端口扫描攻击,将Snort捕获结果复制到实验报告中。
Windows 远程登录服务端口:3389
5、在考虑准确率和检测速度的时候进一步了解了入侵检测系统。
6、通过这次实验进一步了解了libpcap下伯克利包过滤器的工作原理。
BPF过滤使用了新的基于寄存器的预过滤机制,它的缓存机制也对整体效率提高有很大作用。BPF在核心设置了过滤器,预先可对数据包进行过滤,并且只将用户需要的数据提交给用户进程。每个BPF都有一个Buffer,如果过滤器判断接收某个包,BPF就将它复制到相应的Buffer中暂存起来,等收集到足够的数据后再一起提交给用户进程,提高了效率。
2、初步掌握Snort的配置与使用方法,理解基于误用检测的入侵检测系统工作原理。
3、通过试图把自己计算机接入实验室机房学会了linux下网卡的配置。
4、通过分析Alert下的记录,了解到了更多关于各种重要服务的端口的知识。
如SNMP服务端口:161、162
SNMP AGENTX扩展协议服务端口:705
第二个包是一个SNMP AgentX/tcp请求包,同样是探测SNMP服务的。
继续往下看,果然发现了针对端口161的探测,记录结果如下:
同样,发现了攻击方对3389的访问,记录结果如下:
3389是windows著名的远程访问服务端口,如果这个端口能够进行访问的话,攻击者很容易能够远程控制本地计算机。
实验解答:
1、在Windows 环境下安装和使用Snort。要求给出使用的Snort的命令参数。
1)安装winpcap_4.0.2
2) 安装Snort_2_8_2_Installer
3)将规则文件(.rules)复制到Snort安装目录的rules/目录下
4)将配置文件(snort.conf)将其复制到Snort的/etc/目录
用另一台主机发起扫描后,打开log文件夹下的alert.ids搜寻“-> 10.20.79.158”(也就是我的主机IP)扫描字段,看看是否有识别的NMAP SCAN扫描。发现以下记录:
检测到了NMAP XMAS(圣诞树)扫描。扫描攻击方的IP地址为10.20.79.141,被扫描方也就是我的主机:10.20.79.158,NMAP扫描的端口号为:53914 扫描我的1端口,数据包的URG、PSH、FIN被置位,从而判断是典型的XMAS扫描。
陈伟
实验类型
验证
实验学时
2
实验时间
2014.5.16
一、实验目的和要求
1. 通过实验掌握轻量级入侵检测系统Snort的安装。
2. 掌握Snort的配置与使用方法,理解基于误用检测的入侵检测系统工作原理。
二、实验环境(实验设备)
1.安装Windows 2000/2003/XP操作系统并连接网络的一台PC机。
实验报告
(20/ 20学年 第学期)
课程名称
网络信息安全A
实验名称
实验一Snort的安装与使用
实验时间
2014
年
5
月
16
日
指导单位
计算机学院信息安全系
指导教师
陈伟
学生姓名
陈松健
班级学号
11001024
学院(系)ຫໍສະໝຸດ Baidu
通达学院
专 业
计算机科学与技术(信息安全)
实 验 报 告
实验名称
Snort的安装与使用
指导教师
三、实验原理及内容
实验题目1:在Windows 环境下安装和使用Snort。要求给出使用的Snort的命令参数。
实验题目2:使用另外一台电脑对Snort所在主机发起一次端口扫描攻击,将Snort捕获结果复制到实验报告中。(思考:Snort检测结果的准确率如何?如何提高Snort的检测速度与准确率)
思考:Snort检测结果的准确率如何?如何提高Snort的检测速度与准确率
1)Snort成功发现了部分扫描动作,NMAP的XMAS圣诞树扫描成功被识别,但对于其他端口的探测如161、162、705、3389等端口的被作为警告记录了下来但没有识别,还有对135、445等端口的扫描没有被发现。总体感觉,准确率中等(优秀、良好、中等、较差四级别)。
2)可以通过编写更好的规则来提高准确率,可以给规则定下更多的前提条件。可以通过修改Libpcap下的伯克利包过滤器的过滤规则筛选出更明显的存在问题的数据包,并将buffer缓冲区扩大,采用多线程技术提高处理速度。
四、实验小结(包括问题和解决方法、心得体会、意见与建议等)
1、通过这次实验,我学会了Snort的安装与使用。
7、在如何书写Snort配置规则还存在比较多的疑问。
五、指导教师评语
成 绩
批阅人
日 期
但是除了这个包外再没有发现其他的明确是NMAP扫描的数据包了。在看圣诞树扫描前后的记录:
攻击方的IP地址和被攻击方的IP地址与前面的相同。
第一个包是针对162端口的刺探,如果SNMP服务开启的话,这个端口会开放,同样161端口也必须开启;所以猜测这个记录也是NMAP发起的一个针对SNMP的扫描。很遗憾Snort没有识别。
5)cmd打开执行命令:
C:\snort\bin>snort–w
//选择正确的物理网卡号4
C:\snort\bin>snort–i 4–c ..\etc\snort.conf–l ..\log\
//进入检测模式
2:使用另外一台电脑对Snort所在主机发起一次端口扫描攻击,将Snort捕获结果复制到实验报告中。
Windows 远程登录服务端口:3389
5、在考虑准确率和检测速度的时候进一步了解了入侵检测系统。
6、通过这次实验进一步了解了libpcap下伯克利包过滤器的工作原理。
BPF过滤使用了新的基于寄存器的预过滤机制,它的缓存机制也对整体效率提高有很大作用。BPF在核心设置了过滤器,预先可对数据包进行过滤,并且只将用户需要的数据提交给用户进程。每个BPF都有一个Buffer,如果过滤器判断接收某个包,BPF就将它复制到相应的Buffer中暂存起来,等收集到足够的数据后再一起提交给用户进程,提高了效率。
2、初步掌握Snort的配置与使用方法,理解基于误用检测的入侵检测系统工作原理。
3、通过试图把自己计算机接入实验室机房学会了linux下网卡的配置。
4、通过分析Alert下的记录,了解到了更多关于各种重要服务的端口的知识。
如SNMP服务端口:161、162
SNMP AGENTX扩展协议服务端口:705
第二个包是一个SNMP AgentX/tcp请求包,同样是探测SNMP服务的。
继续往下看,果然发现了针对端口161的探测,记录结果如下:
同样,发现了攻击方对3389的访问,记录结果如下:
3389是windows著名的远程访问服务端口,如果这个端口能够进行访问的话,攻击者很容易能够远程控制本地计算机。
实验解答:
1、在Windows 环境下安装和使用Snort。要求给出使用的Snort的命令参数。
1)安装winpcap_4.0.2
2) 安装Snort_2_8_2_Installer
3)将规则文件(.rules)复制到Snort安装目录的rules/目录下
4)将配置文件(snort.conf)将其复制到Snort的/etc/目录
用另一台主机发起扫描后,打开log文件夹下的alert.ids搜寻“-> 10.20.79.158”(也就是我的主机IP)扫描字段,看看是否有识别的NMAP SCAN扫描。发现以下记录:
检测到了NMAP XMAS(圣诞树)扫描。扫描攻击方的IP地址为10.20.79.141,被扫描方也就是我的主机:10.20.79.158,NMAP扫描的端口号为:53914 扫描我的1端口,数据包的URG、PSH、FIN被置位,从而判断是典型的XMAS扫描。
陈伟
实验类型
验证
实验学时
2
实验时间
2014.5.16
一、实验目的和要求
1. 通过实验掌握轻量级入侵检测系统Snort的安装。
2. 掌握Snort的配置与使用方法,理解基于误用检测的入侵检测系统工作原理。
二、实验环境(实验设备)
1.安装Windows 2000/2003/XP操作系统并连接网络的一台PC机。
实验报告
(20/ 20学年 第学期)
课程名称
网络信息安全A
实验名称
实验一Snort的安装与使用
实验时间
2014
年
5
月
16
日
指导单位
计算机学院信息安全系
指导教师
陈伟
学生姓名
陈松健
班级学号
11001024
学院(系)ຫໍສະໝຸດ Baidu
通达学院
专 业
计算机科学与技术(信息安全)
实 验 报 告
实验名称
Snort的安装与使用
指导教师